Het Dilemma | Doen pv-fabrikanten al genoeg aan cybersecurity?

Een grootschalige verstoring van de stroomvoorziening door cyberaanvallen op zonne-energiesystemen is geen ondenkbaar toekomstscenario. Dit risico moet worden geminimaliseerd. De Rijksdienst voor Ondernemend Nederland (RVO) en de Topsector Energie gaven Secura opdracht dieper in deze opgave te duiken. Dat leidde augustus dit jaar tot de publicatie van ‘Scenario’s en maatregelen voor cyberweerbare zonnestroominstallaties.’

Holland Solar
In dit rapport worden onder andere dreigingen en hun eventuele gevolgen geadresseerd. Daarnaast komt aan de orde wat mogelijke maatregelen zijn en wie wat kan doen. Cybersecurity vergt tevens een integrale aanpak. Topsector Energie mobiliseert daarom samen met Holland Solar de zonnestroomsector en allerhande partijen om werk te maken van digitale veiligheid.

In een serie van 3 artikelen focust Solar Magazine op cybersecurity vanuit het perspectief van fabrikanten en leveranciers van hardware en software, o&m-partijen en projectontwikkelaars en installateurs. De redactie gaat van start met de eersten. Wat doen producenten al aan beveiliging en wat kunnen ze nog beter oppakken?

Zien fabrikanten in de pv-industrie het belang van cybersecurity voldoende?
Van der Weerdt, voorzitter van de werkgroep cyberveiligheid van Holland Solar en chief technology officer bij Huawei Benelux: ‘Absoluut. De verantwoordelijkheid wordt volop gevoeld, ook vanuit het eigen bedrijfsbelang. Gaat er iets grondig fout, dan kan dat een enorme impact hebben op je merk.’

En op onze energievoorziening…
Philippe Hoylaerts, voorzitter van de werkgroep omvormers van Holland Solar en Application Engineer bij SMA Solar Technology: ‘We hebben de afgelopen decennia enorme stappen gezet in onze energietransitie. Er zijn nu dagen dat we voor 100 procent op zon en wind draaien. We hebben het dus over kritische infrastructuur. Die moet goed worden beschermd en dus in de handen van de juiste partijen liggen.’

Fabrikanten investeren voldoende in cybersecurity?
Van der Weerdt: ‘Als we ons beperken tot de grote merken, laten we zeggen de top 5 van omvormerproducenten, dan is dat absoluut het geval. Ze nemen digitale veiligheid zeer serieus en investeren in dat kader niet alleen in technologie maar bijvoorbeeld ook in bewustwording van hun personeel. Fabrikanten van goedkopere producten, de B-merken, gaan hier wat lakser mee om. Maar ook deze partijen zijn uiteraard onderdeel van een keten.’

Je doelt op?
Hoylaerts: ‘Omvormers maken steeds vaker deel uit van een communicatienetwerk waarbinnen heel veel data worden verzonden. Behalve door fabrikanten gebeurt dat bijvoorbeeld ook door energieleveranciers, providers van energiemanagementsystemen (ems), chargepoint operators, aanbieders van tools voor slim laden... Het marktpotentieel van de diensten die zij leveren is enorm, er is heel veel geld mee te verdienen en dat wordt nagejaagd. Dan kan cybersecurity erbij inschieten.’

Van der Weerdt: ‘De boodschap is dat heel veel van die derde partijen, vaak jonge kleine bedrijven, voor de businesscase gaan op korte termijn. Ik denk dat iedereen wel aanvoelt dat digitale veiligheid dan al snel op het tweede plan staat. Er is dus nood aan standaardisatie.’

Standaardisatie van wat?
‘In de Europese verordening voor telecommunicatieapparatuur, de Radio Equipment Directive (RED), paragraaf 3,3, zijn een aantal minimale cybersecurityvereisten vastgelegd waar ook alle omvormerfabrikanten die op de Europese markt actief zijn aan moeten voldoen. Dit soort van wetgeving blijft in de positieve zin evolueren en geeft een kader aan vooraanstaande fabrikanten om dit de hoogste prioriteit te blijven geven. We zien vandaag de dag echter niet dat service- aanbieders van derdepartijsystemen op dit vlak verplicht zijn verantwoording af te leggen. Dat moet veranderen. En naast die technische standaardisatie is het uiteraard ook van belang om goed te regelen hoe er met incidenten wordt omgegaan.’

En dan zijn er ook nog de eindgebruikers, bijvoorbeeld consumenten…
Hoylaerts: ‘Steeds meer apparaten in huis – de wasmachine, warmtepomp, kookplaat, verlichting… zijn connected, verbonden met de router. Daaraan kleven veiligheidsrisco’s. De omgang met data is tevens steeds belangrijker. Hier is de Europese General Data Protection Regulation (GDPR)-wetgeving leidend. Maar die is nog niet bij alle verbonden toestellen even goed geïmplementeerd. Het grote publiek moet hierover dus worden voorgelicht; er bewust van worden gemaakt dat verbondenheid ook een verantwoordelijkheid naar netwerkconfiguratie met zich meebrengt en de keuze voor betrouwbare partners die op een correcte manier met jouw gegevens aan de slag gaan.’

Ook die apparaten moeten aan wetgeving voldoen…
Van der Weerdt: ‘Dat is mooi, maar dan moet daar natuurlijk wel actief op worden gehandhaafd. Dit is een heel belangrijk punt en daar moeten we in Nederland nog slagen in maken. Holland Solar voert daarover het gesprek met de Rijksdienst voor Digitale Infrastructuur. Wij zijn heel blij dat we dit thema bespreekbaar kunnen maken, en zien graag dat de overheid straks daadkrachtig optreedt tegen bedrijven die zich niet aan de regels houden.’

Hoeveel zorgen moeten we ons maken over een gebrek aan cybersecurity in de solar-branche?
Van der Weerdt: ‘Niet zozeer zorgen, maar een gezonde waakzaamheid is zeker op zijn plaats. Het Secura-rapport vermeldt bijvoorbeeld niet dat een aanzienlijk aandeel van de omvormers in Nederland helemaal niet is aangesloten op het internet. Ook zie ik dat steeds meer bedrijven in de zonne-energiesector hun eigen cybersecurity naar een hoger plan tillen, en de aanbevelingen uit het rapport ter harte nemen. Dat is een positieve trend. Het risico is mijns inziens dus wel wat lager dan wordt voorgesteld. We moeten ook voorkomen dat de discussie over cybersecurity te veel gemixt wordt met politiek sentiment waardoor die niet meer feitelijk gebaseerd is. Dat neemt niet weg dat er nog veel te verbeteren valt en er is nog veel behoefte naar standaardisatie. Nu is dus wel het moment om de kansen te grijpen en echt stappen te maken. Alles samengevat denk ik dat de situatie in Nederland, over de hele markt beschouwd, niet zo zwart is als sommige media doen geloven. Onze energievoorziening is erg robuust en zal niet zo snel omvallen.’

Hoylaerts: ‘Een energiesysteem waar alle partijen bijdragen tot een stabiele situatie brengt inderdaad met zich mee dat enorm veel apparaten met elkaar in verbinding staan. Maar op het einde van de rit is het risico dat we lopen gelijk aan de kans dat er iets gebeurt maal de impact. Die kans kunnen we met z’n allen zo laag mogelijk houden. Dit vereist dat fabrikanten, maar ook eindklanten hun verantwoordelijkheid nemen – en dit door de keuze voor oplossingen die conform zijn aan de heersende standaarden en wetgeving. Positief is dat je nu wel ziet dat cybersecurity in het vizier staat van overheden op verschillende niveaus en dat de vrijblijvendheid om hieraan deel te nemen, begint te verdwijnen. Hernieuwbare energie is gelukkig een significant onderdeel geworden van onze energie-infrastructuur. Dat dwingt vooraanstaande aanbieders om hun zaken op orde te hebben. Simpel gezegd: als je dit niet doet, dan zullen klanten ook niet meer voor jouw diensten kiezen. Dit gecombineerd met een gezonde voorzichtigheid langs de kant van de consument sterkt mij in het geloof dat het risico op incidenten beperkt kan blijven.’